Ronca Vito
Service Manager Operations
Emerson Process Management
Italia
Emerson e Cyber Security• Nel settore industria ed energia, unodei punti critici da un punto di vista CybSec è il sistema di controllo edautomazione degli impianti
• EPM fornisce sistemi per oltre 2 miliardi di dollari all’anno in tutto ilmondo, ha specializzato unacompetenza specifica in materia diCybSec, ed ha costituito un proprioCyber Emergency Response Team
• Focus:• Centrali Elettriche, grazie al driver del Nucleare, con oltre 1 TWe in tutto ilmondo• Grandi impianti strategici: raffinerie, upstream, chimici,• Sistemi di trattamento e gestione acque
Flow
Measurement
& Analytical
Final
Control
23%
27%
25%
$8.6B
25%
System &
Solutions
Investimenti in Tecnologia e sviluppo (2013):• $808 milioni in Ingegneria e sviluppo• 9066 personale nella ricerca e sviluppo• 32% di nuovi prodotti / totale vendita• 1646 nuovi brevetti acquisiti nel 2013
Minaccia Cyber Security
Umana
Dolosa
Dall’esterno
come
crackers or
hackers
Non dolosa
Dipendenti e
personale
esterno
Dall’interno
come
personale
scontento/
insoddisfatto
Naturale
Accidentale
Esplosioni,
Guasti
Disastro
Alluvioni, Incendi
terremoti, Uragani
Aree di interesse
Industrial Control Systems Cyber Emergency Response Team (ICS-CERT)
• Si assume che qualcun’altro (come il reparto IT) si stia occupando della sicurezzadel sistema di controllo di processo.
• Su incidenti legati alla Cyber Security non viene effettuata una analisiapprofondita delle cause.
• Mancanza di “Politiche e procedure” di gestione delle sicurezze del sistema dicontrollo.
• Si “assume” che le soluzioni di sicurezza dell’IT possono essere applicabili su un sistema di controllo di processo.
• Affrontare le soluzioni di cyber security in “maniera frammentata”.
Le 10 principali sottovalutazioni sulla Cyber Security nell’automazione
• Si dimenticano gli aspetti umani della cyber security.Una buona politica di sicurezza parte assicurandosi che tutto il personale, la direzione e le società che lavorano negli impianti comprendano e seguano sempre le appropriate pratiche24/7/365.
• Progettare la rete del sistema di controllo senza considerare architetture di difesasufficientemente approfondite.
• Una gestione “povera” degli aggiornamenti (Patching) per applicazioni sui sistemidi controllo di processo. Molte aziende hanno dei sistemi automatici per il patching dei sistemi gestionali ma dimenticano l’importanza delle applicazioni software per la gestione dei sistemi di controllo.
• Non vengono usati stumenti per individuare attività non autorizzate oppure non cisono procedure che assicurano che tali strumenti vengano utilizzati regolarmente.
Spesso ci sono molti Firewall negli impianti che registrano informazioni che non vengono maicontrollate. E’ come installare un antifurto e non attivarlo.
• Permettere un’accesso remoto al sistema di controllo senza creare ed applicare un sistema di controllo di accessi appropriato.
Le 10 principali sottovalutazioni sulla Cyber Security nell’automazione
*By Eric Byres. Originally published by ChemicalProcessing.com.
Information Exchange
• Assess • Solve
Periodic Audits
• Improve
Cyber Security Management
SecuritySolutions
Soluzioni per incremento del livello di
sicurezza• Automated Patch Management
• Disaster Recovery / Backup & Recovery
• System Health Monitoring
• Smart Firewalls w/ Intrusion Detection
• Spare Parts Management
• Smart Switches and Controller Firewalls
• Guardian Support
• Evergreen System Upgrades
• Remediation Services
Quanto è sicuro il sistema di controllo?
Dove siamo vulnerabili per un attacco informatico?
Quanto è noto cosa fare?
Quali fasi devono essere seguite per prevenire eventuali
attcchi informatici?
CyberAssessment
Analisi e valutazioni Cyber Security• Basic Cyber Assessment & Report
• Advanced Cyber Assessment & Report
• Cyber Security Remediation Analysis &
Recommendations
Required Security Features
Product
DevelopmentProject
ImplementationSolution
Maintenance
• Account Management
• Firewalls
• Anti-virus Software
• O/S Security Patching
• Backup/Restore Management
• Configuration Management
• Security Incident Handling
Required Security Features
• Trained Staff
• Security Contact
• Segmented Network Design
• Risk Assessment and Identification of Sensitive Data
• Access restrictions on external interfaces
• Hardening of Workstations, Networks, Databases, comms, etc.
• Installation of Anti-virus Software and Security Patches
• Setup of Accounts and Passwords
Product
Development Project
ImplementationSolution
Maintenance
Required Security Features• Keep current with patches, hotfixes, and Anti-virus updates
• Perform Backups and Restores
• Maintain Firewall Rules
• Maintain Account and Password Security
• Perform network scans to detect unwanted devices/workstations
• Verify that security has not degraded
• Monitor and manage security incidents
• Security Incident Handling
Product
DevelopmentProject
Implementation Solution
Maintenance
Layered Network Security
InternetMantenere una separazione tra le reti d’impianto
La sicurezza per sistemi critici è creata da:• Mantenimento dei livelli o aree di
sicurezza
• Restrizioni di accesso tra le aree
• Stretti controlli di accesso ad utenti e
applicazioni
Le soluzioni di Cyber security
Dovrebbero essere concentrate
per proteggere le
apparecchiature nell’area del
controllo di processo.
Summary
• Non è possibile rimuovere tutte le incertezze e i rischi in ogni impianto ma applicando gli strumenti corretti è possibile ridurre i rischi rimanenti.
• Bisogna mitigare i rischi e quindi assicurarsi che tutto ilpersonale operante segua al meglio le indicazioni e procedure definite per proteggere al meglio gliinvestimenti e la produttività del sistema di controllo.
• Verificare costantemente tutto il processo per assicurarsiche ogniuno stia facendo la propria parte anche nellepiccole azioni necessarie.
Domande?